Active Directory (WinServer 2008 R2)

Hallo zusammen

Eine Frage an den AD-Profi:

Gibt es irgendwo beim User die Möglichkeit, Informationen zu hinterlegen, welche NICHT FÜR ALLE einsehbar sind?

Z.B. habe ich Einträge im Feld: Rufnummern / Anmerkungen gemacht, in der Hoffnung, dass diese Daten für unsere User nicht einsehbar sind... doch ein gewiefter User,
kann das via Outlook-Eigenschaften locker einfach abfragen...

Tja, da steht man wie ein Esel am Berg :|

Vielen Dank und Gruss
Ronny

Hallo Cuxztwin,

jedem User können eine Vielzahl versteckter Attribute hinterlegt werden. Wenn es sich dabei um 2008-Server handelt, können diese bequem im Reiter Attribute Editor der User-Eigenschaften geändert werden. Unter 2003-Server muss (wenn ich das noch richtig im Kopf habe) die adsiedit.exe verwendet werden (Start - Auführen - adsiedit.exe - OK). Aber ACHTUNG!!! - hier drin sollte mit Vorsicht geändert werden!

Wenn du Bescheid gibst, welche Art von Information du hinterlegen möchtest, kann ich dir sagen, ob es vielleicht sogar ein vordefiniertes Attribut-Feld dafür gibt, bzw. welches als Alternative dafür geeignet wäre.

GreeZ
EzE

Hallo

Also ich möchte einfach Textinhalt im User ablegen. Infos wie z.B. private Handy-Nummer oder verwendete Client-Nr. (PC-Host).

Ich möchte, dass nur ich (Domain-Admin) sehen darf.

Genügt das so?

Gruss
Ronny

Hallo,

genügt so - welches Betriebsystem ist auf deinem DC installiert?

GreeZ
EzE

WinServer 2008 R2, 64-b

Hallo,

dann kannst du die Attribute im->Attribute Editor' Reiter in den Benutzereigenschaften ändern. Einfach mal durchsehen, was passen könnte - bereits befüllte Felder würde ich nicht abändern, wenn du dir nicht sicher bist, ob bzw. wofür sie verwendet werden.

Das Feld->mobilephone' ist jenes, welches im Outlook angezeigt wird. Hier müsstest du auf ein anderes Feld wechseln - die Felder->extensionattribute*' können für solche Informationen verwendet werden.

Greez EzE

Jeder Benutzer innerhalb eines ADs hat Leserechte auf ALLE! Objekte im AD - sonst würde das ganze Konstrukt nicht funktionieren. Das gilt auch für nachträglich angelegte Attribute, wobei ich den Weg über adsiedit schon für beinah fahrlässig halte - damit kann man sich sein AD auch sehr gut zerschiessen.

Hallo twoday,

schön, dass du dich in die Diskussion einklinkst, dachte schon ich bin alleine hier drin ;-)

Jeder Benutzer innerhalb eines ADs hat Leserechte auf ALLE! Objekte im AD - sonst würde das ganze Konstrukt nicht funktionieren. Das gilt auch für nachträglich angelegte Attribute

Zum Vergrößern anklicken....

Da hast du natürlich vollkommen recht, weshalb ich versteckte Attribute ja auch unter Hochkommas gesetzt habe. Cuxztwin geht es allerdings nur darum, dass die Felder nicht sichtbar sind, wenn ein User im Outlook die Eigenschaften eines anderen Users öffnet - und das sind nun mal nur department, physicalDeliveryOfficeName, ipPhone, mobile, mail,... die Standardfelder eben.

wobei ich den Weg über adsiedit schon für beinah fahrlässig halte - damit kann man sich sein AD auch sehr gut zerschiessen.

Zum Vergrößern anklicken....

Auch da gebe ich dir Recht - allerdings kann ich mein AD auch in den AD Users und Computers zerschießen, wenn ich nicht weiß, was ich tue. Deshalb ja auch mein Hinweis: Aber ACHTUNG!!! - hier drin sollte mit Vorsicht geändert werden!

Ich arbeite schon einige Zeit mit AD-Strukturen, welche ich unter anderem auch über adsiedit gepflegt und dabei noch nie->zerschossen' habe ;-) Trotzdem bin ich froh, dass du die Wichtigkeit der Umsicht beim Arbeiten im AD nochmal herausgehoben hast - danke dafür.

GreeZ
EzE

Danke für eure Infos.. das ist mir zu gefährlich.. da meine Kenntnisse wirklich gurken-schwach sind (zum aktuellen ehec-thema).

Ich lasse einfach die Finger davon und werde wichtige Infos sonstwohin packen (müssen).

Besten Dank an alle und have fun.
Ronny

Hallo,

lass dir da mal keine Angst einjagen...

Vorher hast du die Mobiltelefon-Nummer unter MobilePhone eingepflegt, jetzt eben im Attribute Editor ins jeweilige Feld - gleiches Fenster, anderer Reiter. Wenn du sichergehen willst, dass du kein bereits verwendetes Feld änderst, nutze eben die extensionAttribute1 - 15 Felder.

Was möchtest du mit der Information zukünftig überhaupt anstellen? Wieder auslesen? Andere Systeme drauf zugreifen lassen? Oder gehts momentan nur darum, die Daten irgendwo erfassen?

GreeZ
EzE

Es geht darum, einfach Userdaten für mich als Admin im AD zu erfassen... 1 zentraler Ort... das ist die Idee

Hallo,

dann wärst du im Attribute Editor genau richtig ;-)

GreeZ
EzE

Hallo

Vielen Dank...

Gruss